USD
523.86₸
-0.160
EUR
544.34₸
-0.850
RUB
5.11₸
+0.020
BRENT
72.98$
BTC
97340.60$
-105.100

Личные данные: что изменилось в законодательстве

О специфике последних изменений рассказали эксперты компании «Делойт»

Share
Share
Share
Tweet
Share
Личные данные: что изменилось в законодательстве- Kapital.kz

В Казахстане усиливают защиту персональных данных и контроль за их безопасностью. Начиная с 2020 года, в соответствующее законодательство неоднократно вносились изменения и дополнения, были расширены обязательства собственников, операторов и третьих лиц при сборе и обработке личных данных. В этой статье мы рассмотрим специфику последних изменений в данной области.

Что изменилось в законодательстве

Как известно, на сбор и обработку персональных данных необходимо согласие работника, клиента или пользователя. Оно дается разными способами – электронно или через подписание документа. Раньше каждая компания сама разрабатывала текст такого согласия, исходя из законодательства и целей обработки данных. Теперь в законе прописана форма согласия на сбор и обработку персональных данных.

Однако в законе не указано, необходимо ли переподписывать согласия, полученные до введения в действие изменений. Конечно, данный процесс весьма трудоемкий. Но мы в любом случае полагаем, что если текущее согласие на сбор и обработку персональных данных компаний не соответствует новым требованиям закона, то его следует переподписать, чтобы исключить риск несоответствия законодательным требованиям.

Также в законе появилось требование о том, что собственники и операторы баз персональных данных должны утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных. А вот требования к содержанию такой политики не установлены.  

Собственники и операторы теперь обязаны регистрировать период действия согласия на обработку персональных данных, а также следить за тем, можно ли передавать эти данные третьим лицам, включая трансграничную передачу, и можно ли распространять персональные данные в общедоступных источниках. При этом из внесенных изменений не ясно, необходимо ли вести учет каждого действия, настроив внутренние процессы компании, либо будет достаточно вести учет вручную собственником или оператором.

Нарушение закона о персональных данных  

В Казахстане уже есть практика по привлечению к административной ответственности за подобные нарушения, в частности за то, что не были применены необходимые меры по защите персональных данных. Этот вопрос находится на контроле Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. Обычно нарушения выявляются во время проверок или на основании обращения граждан.

Например, к ответственности были привлечены крупный местный банк и телекоммуникационный оператор. Они не применяли средства идентификации и аутентификации пользователей, также у них не было назначено ответственное лицо за организацию обработки персональных данных, и, соответственно, они не оповещали об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа.

Помимо крупных субъектов бизнеса к административной ответственности по той же статье были привлечены и управляющие организации столичных жилых комплексов, коммерческие организации, одно должностное лицо государственного органа, а также одно предприятие водоснабжения и водоотведения.

Недавно гражданин обратился с вопросом о правомерности безотзывного и безусловного согласия банка второго уровня, в котором не указан перечень собираемых персональных данных, а также цели такого сбора и обработки. Министерство признало, что требование о предоставлении безотзывного и безусловного согласия на сбор и обработку персональных данных противоречит законодательству Республики Казахстан о персональных данных и их защите. Министерство также подчеркнуло, что собственник и оператор обязаны определить перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач и конкретизировать цели, для которых осуществляется сбор и обработка персональных данных.

Вышеуказанные примеры показывают, что государство, помимо законодательных изменений, принимает реальные меры к привлечению к ответственности субъектов предпринимательства и усиливает контроль за защитой персональных данных в Казахстане.

Незаконное распространение персональных данных в открытом доступе

Все чаще в Казахстане появляются новости об «утечке» персональных данных граждан. Помимо этого, по информации председателя Комитета информационной безопасности, от казахстанцев все чаще поступают жалобы на частные интернет-ресурсы, которые распространяют персональные данные в открытом доступе. Так, в 2021 году к административной ответственности в виде штрафа (20 МРП) были привлечены два частных интернет-ресурса, распространяющие незаконно полученные личные данные.

В связи с такой практикой привлечения к ответственности интернет-ресурсов следует отметить еще одно изменение в Законе «О персональных данных и их защите» : ранее в статье 9 было предусмотрено, что сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях осуществления законной деятельности СМИ при условии соблюдения требований законодательства по обеспечению прав и свобод человека и гражданина. Данное положение подразумевало деятельность всех СМИ, включая интернет-ресурсы. Затем было внесено изменение, согласно которому обобщенное понятие СМИ было исключено, и сбор и обработка без согласия допускаются во время осуществления законной профессиональной деятельности журналиста и деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности. Данное изменение было внесено для устранения пробелов в законодательстве и воспрепятствования интернет-ресурсам злоупотребления своими полномочиями публиковать персональные данные без согласия субъектов.

Помимо привлечения к административной ответственности, в Казахстане также предусмотрена возможность приостановления/прекращения деятельности СМИ, однако такая практика пока не распространена.

Например, в Российской Федерации по факту распространения материалов, содержащих персональные данные несовершеннолетних граждан без их согласия или согласия законных представителей и других систематических нарушений требований законодательства о персональных данных, допущенных редакцией издания, была прекращена деятельность одной из газет на основании искового заявления Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Верховный суд РФ поддержал решение суда первой инстанции.

Помимо привлечения к ответственности, в Российской Федерации суды также возмещают гражданам моральный вред, причиненный незаконным распространением персональных данных. Так, в одном из дел гражданин обратился в суд для признания незаконным распространение газетой персональных данных, а также его личного изображения. Он попросил компенсацию морального вреда и публикации опровержения. Суд первой инстанции признал незаконным распространение газетой персональных данных, а также использование изображения гражданина в оспариваемой статье. Суд взыскал с редакции газеты в пользу истца компенсацию морального вреда. Определением апелляционного суда решение суда первой инстанции оставлено без изменений.

В Казахстане в соответствии с положениями Гражданского кодекса также возможна компенсация морального вреда. На сегодняшний день в Казахстане только начала формироваться соответствующая практика, однако она неоднообразна, и удовлетворение исковых требований зависит от тяжести причиненных нравственных страданий, вреда, причиненного гражданину в результате незаконного использования его персональных данных.  Важно также отметить, что компенсации морального вреда удовлетворяются в разумном размере, то есть в зависимости от характера причиненных нравственных страданий.

Учитывая вышеизложенное и законодательные изменения, компаниям, у которых есть собственные интернет-ресурсы, а также средствам массовой информации, следует уделять большее внимание публикуемой информации и соблюдать требования законодательства, чтобы избежать возможного приостановления / прекращения деятельности, а также судебных исков.

Исходя из практики привлечения к ответственности и законодательных изменений, можно сделать вывод, что в Казахстане взят курс на внедрение международных стандартов и принципов защиты персональных данных, в частности GDPR Европейского союза (General Data Protection Regulation). Полагаем, что правоприменительная практика как со стороны граждан, так и со стороны уполномоченных органов будет прогрессивно расширяться, и не исключаем, что количество судебных разбирательств по факту незаконного сбора, хранения и распространения персональных данных может возрасти.

Компаниям, работающим с персональными данными, нужно провести анализ своей деятельности и убедиться, что необходимые требования соблюдены, чтобы избежать ответственности. Ведь это может нанести не только материальный ущерб, но и повлечь негативные репутационные риски.

Эксперты компании «Делойт» Дильбара Кожамкулова и Карина Шамсутдинова

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Вам может быть интересно

Читайте Kapital.kz в Kapital Telegram Kapital Instagram Kapital Facebook
Вверх
Комментарии
Выйти
Отправить
Авторизуйтесь, чтобы отправить комментарий
Новый пользователь? Регистрация
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Уже есть аккаунт? Вход
По телефону По эл. почте
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона/email для смены пароля
По телефону По эл. почте
Введите код доступа из SMS-сообщения/Email'а
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS/Email, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.